Teisinis stebėjimas Nr. 74 – 2024 m. rugpjūčio mėn.  

„Telegram“, „Signal“, „WhatsApp“… Ar momentinių pranešimų paslaugos yra geros profesionaliame kontekste?

Žiniasklaidoje sulaukta daugybės reakcijų į susirašinėjimo programėlės „Pavel Durovo“ įkūrėjo areštą Prancūzijoje. Telegrama.

Nepaisant politinių diskusijų šia tema, ši byla suteikia mums galimybę įvertinti momentinių pranešimų paslaugų patikimumą.

Kiek iš tiesų konfidenciali yra keičiama informacija? Ar šios programos yra panašios ir ar jas galima naudoti profesiniame kontekste?

Dauguma šių dienų momentinių pranešimų paslaugų giriasi šifruojančios savo pranešimus.

Tačiau praktika skiriasi priklausomai nuo pranešimų siuntimo paslaugos.

Daugelis „Telegram“ naudotojų pastarosiomis dienomis sužinojo, kad jų bendravimas nėra apsaugotas pagal numatytuosius nustatymus.

Apsaugotas yra tik tiesioginis bendravimas tarp dviejų dalyvių, kurie rankiniu būdu įjungė šifravimą savo pokalbio parinktyse.

Reikėtų pažymėti, kad „Telegram“ nenaudoja atvirojo kodo šifravimo, pavyzdžiui, „Signal“ protokolo, o remiasi „vietine“ technologija, kurios neįmanoma patikrinti. 

Grupinių diskusijų (arba pokalbių kanalų) negalima šifruoti, todėl „Telegram“ gali pasiekti jų turinį, taip pat informaciją apie šių grupių narius ir administratorius.

Čia vykstantys mainai labiau primena socialinio tinklo, o ne pranešimų siuntimo paslaugos mainus.

„Telegram“ jau daugelį metų kritikuojama dėl diskusijų kanalų moderavimo stokos, daugelio vyriausybių prašymų pašalinti neteisėtą turinį ignoravimo ir atsisakymo dalytis informacija apie galimus pažeidėjus.

Šie moderavimo ir bendradarbiavimo su teisėsauga įpareigojimai numatyti Prancūzijos įstatymuose ir Europos reglamente dėl skaitmeninių paslaugų.

Būtent šiame kontekste jos įkūrėjas buvo areštuotas dėl nebendradarbiavimo ir bendrininkavimo organizuotame nusikalstamume.

Vis dėlto ši bendradarbiavimo prievolė turi ribas: taigi, ištisai užšifruotas ryšys išlieka konfidencialus ir jo negali perimti trečioji šalis, nesvarbu, ar tai būtų pranešimų siuntimo paslaugų teikėjas, vyriausybė ar įsilaužėlis.

Kai kurios valstijos yra susirūpinusios dėl plačiai paplitusio šifravimo naudojimo ir lobizuoja dėl reguliavimo pakeitimų, kurie leistų jį apeiti.

Tai ypač aktualu siūlomo Europos reglamento dėl vaikų seksualinės prievartos (VAP) kontekste.

Šis spaudimas susilpninti komunikacijos konfidencialumą sukelia daugybę reakcijų iš asmeninių laisvių gynėjų ir duomenų apsaugos institucijų, kuriems tai reikštų platų privačių komunikacijų stebėjimą, pakenktų skaitmeniniam saugumui, pažeidžiant šifravimą, ir nepateiktų jokių įrodymų, kad tai apskritai pasiektų savo tikslą – apsaugoti vaikus.

Atsižvelgiant į dabartinę teisinę ir technologinę padėtį, primygtinai rekomenduojama naudoti ištisinį šifravimą, kad būtų galima keistis profesiniais pranešimais, ypač kai pranešimo turinys yra jautrus (pvz., medicininiai ar finansiniai duomenys).

Ir šiuo atžvilgiu ne visos programos yra vienodos. Nors pranešimų turinys gali būti apsaugotas, šifravimas neužkerta kelio tam tikrų naudotojo identifikavimo ir (arba) ryšio duomenų rinkimui.

Visais atvejais, naudojant diskusijų grupes, rekomenduojama būti ypač atsargiems.

Grupių naudojimas WhatsApp Todėl profesiniame kontekste keičiantis jautriais duomenimis duomenų valdytojui duomenų apsaugos institucija skyrė sankcijas.

Signalas yra visuotinai pripažįstama kaip užtikrinanti aukštą apsaugos lygį, tačiau tai nėra vienintelė.

Pavyzdžiui, galime paminėti Threema Ir Olvidas Šių paslaugų pranašumas yra tas, kad jos yra europietiškos. Tačiau jų trūkumas yra tas, kad jos vis dar yra gana nežinomos. Įmonės viduje tokios pranešimų sistemos vis dėlto gali būti įdomi alternatyva.

Pastaba / Daugybėje analizių išsamiai aprašomi pranešimų siuntimo programų privalumai ir trūkumai. Pavyzdžiui, žr. „Orange Cyberdefense“ atliktą analizę: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee.

Išsamesnę teisėsaugos institucijų informacijos iš pranešimų siuntimo paslaugos analizę rasite šiame FTB mokymo dokumente, gautame pagal Informacijos laisvės įstatymo prašymą „Property of the People“ – Amerikos ne pelno siekiančios organizacijos, skirtos vyriausybės skaidrumui: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

Rugsėjo 2 d. „SOS médecins“ pranešė, kad CNIL pritarė asociacijos duomenų saugyklos, pavadintos „Contact“, sukūrimui.

Pasak „SOS gydecins“, „Contact“ yra „skirta neplaninei priežiūrai ir prieigos prie priežiūros gerinimui, (ir) skatins mokslinius tyrimus bei inovacijas sveikatos srityje“.

Ji saugiai ir konfidencialiai konsoliduos milijonų pacientų, kasmet gydomų 64 federacijos asociacijose, duomenis.

Pasak federacijos, šie duomenys turėtų būti pakartotinai naudojami pacientų labui, siekiant pagerinti praktiką ir optimizuoti priežiūrą.

Paryžiaus-Saklė universitetas paskelbė, kad rugpjūčio 11 d. tapo išpirkos reikalaujančios programinės įrangos atakos taikiniu. Šis incidentas įvyko praėjus savaitei po kitos kibernetinės atakos prieš daugiau nei 40 kultūros įstaigų Prancūzijoje: pranešama, kad kibernetiniai nusikaltėliai infiltravosi į „Réunion des musées nationaux – Grand Palais“ bendrą kompiuterinę sistemą, kurioje centralizuotai kaupiami visi šių įstaigų finansiniai duomenys, ir grasino paviešinti duomenis per 48 valandas, jei nebus sumokėta išpirka.

„L'Usine Digitale“ duomenimis, nukentėjo 36 tinklo valdomos parduotuvės ir sistemos buvo atjungtos. Paryžiaus prokuratūra pradėjo tyrimą.

 

Europos institucijos ir įstaigos

Europos Komisija pradėjo konsultacijas dėl nepilnamečių apsaugos internete, kurios vyks iki rugsėjo 30 d. ypač atsižvelgiant į Skaitmeninių paslaugų įstatymą (DSA) ir Vaikų pornografinės medžiagos pranešimą (CSAM).

Pagal Skaitmeninių paslaugų aktą Komisija turi parengti gaires, kurios padėtų atitinkamoms internetinėms platformoms laikytis nepilnamečių privatumo apsaugos ir saugumo reikalavimų.

„Šiose gairėse bus pateiktas neišsamus gerosios praktikos pavyzdžių ir rekomendacijų sąrašas internetinių platformų teikėjams, padėsiantis jiems sumažinti su nepilnamečių apsauga susijusią riziką. Gairės taip pat padės Komisijai ir skaitmeninių paslaugų koordinatoriams prižiūrėti platformas ir vykdyti Skaitmeninių paslaugų aktą.“

Šį rudenį Europos Komisija paskelbs pirmąją ataskaitą apie Europos Sąjungos ir Jungtinių Amerikos Valstijų „Duomenų privatumo sistemos“ (DPF) veikimą. Liepos mėnesį šiuo klausimu buvo surengtas dvišalis vertinimo susitikimas, o Komisija taip pat pradėjo viešas konsultacijas, kuriose komentarus buvo galima teikti iki rugsėjo 6 d.

Kinija ir ES pradėjo diskusijas dėl duomenų perdavimo pagal naują „tarpvalstybinį duomenų srautų komunikacijos mechanizmą“. Pasak Europos Komisijos, šiuo mechanizmu siekiama rasti būdų, kaip palengvinti Europos įmonėms neasmeninių duomenų perdavimą tarpvalstybiniu mastu, taip pat jų atitiktį Kinijos duomenų įstatymams.

 

Naujienos iš Europos šalių narių.

Vokietijoje Frankfurto apeliacinis teismas įpareigojo „Microsoft“ netalpinti ir nesaugoti slapukų atitinkamo asmens įrenginiuose be jų sutikimo, net jei tai reikštų, kad „Microsoft“ nustos diegti bet kokius stebėjimo slapukus.

Šis sprendimas, regis, atitinka neseniai Nyderlandų teismo priimtą sprendimą, kuriuo „Microsoft“, „LinkedIn“ ir „Xandr“ buvo uždrausta diegti sekimo slapukus be naudotojo sutikimo ir skirta 1000 eurų bauda kiekvienai įmonei už kiekvieną sprendimo nevykdymo dieną (per „GDPRhub“).

Belgijos duomenų apsaugos institucija (DPA) atmetė duomenų subjekto pateiktą skundą dėl duomenų saugumo pažeidimo. Ji manė, kad duomenų valdytojo pagal BDAR 32 straipsnį imtasi techninių ir organizacinių priemonių buvo tinkamos.

Danijos oficialioji paramos parama (OPV) manė, kad norint gauti laisvą ir aiškų sutikimą dėl veido atpažinimo naudojimo siekiant patekti į sporto salę, atitinkamas asmuo turi turėti kitus patvirtinimo metodus, kurie neapima biometrinių duomenų tvarkymo.

Ispanijoje Duomenų apsaugos tarnyba (APD) skyrė 145 000 eurų baudą duomenų valdytojui už tai, kad buvo pavogta neužšifruota USB atmintinė, kurioje buvo su baudžiamąja byla susiję asmens duomenys.Ji nustatė konfidencialumo principo pažeidimą, nors nebuvo jokių įrodymų, kad prie duomenų buvo prieita.

Italijoje APD skyrė 20 000 eurų baudą savivaldybei, kuri neteisėtai paskelbė viešos atrankos procese nesėkmingų kandidatų vardus ir pavardes. Be to, savivaldybė nebuvo sudariusi teisiškai įpareigojančios sutarties su savo subrangovu, o tai pažeidžia BDAR 28(3) straipsnį.

APD taip pat skyrė milijono eurų baudą telekomunikacijų paslaugų teikėjui, kuris susisiekė su savo klientais komerciniais tikslais negavę galiojančio sutikimo. Duomenų apsaugos institucija nusprendė, kad duomenų valdytojas negali remtis teisėtu interesu skambinti savo klientams rinkodaros tikslais.

Liepos 22 d. Nyderlandų duomenų apsaugos tarnyba (APD), bendradarbiaudama su CNIL, skyrė 290 mln. eurų baudą bendrovėms „Uber BV“ (įsikūrusi Nyderlanduose) ir „Uber technologies INC.“ (įsikūrusi Jungtinėse Valstijose) už asmens duomenų perdavimą už ES ribų netaikant pakankamų apsaugos priemonių.

CNIL (Prancūzijos duomenų apsaugos tarnyba) gavo kolektyvinį skundą iš Žmogaus teisių lygos, atstovaujančios daugiau nei 170 platformoje dirbančių vairuotojų. Nyderlandų duomenų apsaugos tarnyba (APD) nustatė, kad vairuotojų asmens duomenų tvarkymas, už kurį bendrai atsako „Uber BV“ ir „Uber Technologies Inc.“, apima duomenų perdavimą į Jungtines Amerikos Valstijas. Nuo 2021 m. rugpjūčio 6 d. iki 2023 m. lapkričio 21 d. (datos, kai „Uber“ buvo įtraukta į Duomenų privatumo sistemą) šiems perdavimams nebuvo taikomos tinkamos apsaugos priemonės. APD padarė išvadą, kad buvo pažeistas BDAR 44 straipsnis. „Uber“ paskelbė apie ketinimą apskųsti šį sprendimą, kurį laiko nepagrįstu.

Nyderlandų duomenų apsaugos tarnyba (APD) rugsėjo 3 d. taip pat skyrė „Clearview AI“ 30,5 mln. eurų baudą ir dar 5 mln. eurų baudą už nesilaikymą. Visų pirma, „Clearview“ sukūrė neteisėtą duomenų bazę, kurioje yra milijardai veido atvaizdų, įskaitant Nyderlandų piliečių atvaizdus. APD taip pat uždraudė naudotis „Clearview“ paslaugomis. Kadangi bendrovė neparodė noro keisti savo praktikos, APD nurodė, kad svarsto įvairius teisinius kelius, įskaitant galimybę patraukti bendrovės vadovus asmeniškai atsakomybėn už šiuos pažeidimus.

Norvegijos mokslo ir technologijų universitetas (NTNU), globodamas Norvegijos duomenų apsaugos tarnybos „smėlio dėžių“ projektus, paskelbė ataskaitą pavadinimu „Bandomasis „Microsoft 365“ kopilotas“.

Universitetas išbandė „Microsoft“ dirbtinio intelekto paslaugą „Copilot“ ir 2024 m. vasaros pradžioje paskelbė 8 pagrindinius rezultatus, kurie buvo naudingi prieš pradedant naudoti šią naują paslaugą.

Slovėnijos duomenų apsaugos tarnyba (APD) nusprendė, kad mokykla gali iš dalies atsisakyti patenkinti tėvų pateiktą prašymą suteikti prieigą prie duomenų, jei tam tikrų duomenų atskleidimas gali pakenkti nepilnamečio interesams.

Rugpjūčio 14 d. Šveicarija priėmė sprendimą dėl tinkamumo Jungtinėms Valstijoms, leidžiantį perduoti duomenis įmonėms, sertifikuotoms pagal Šveicarijos ir JAV „duomenų privatumo sistemą“.

Taigi Šveicarija prisijungia prie Europos Sąjungos ir Jungtinės Karalystės, kurios leidžia organizacijoms perduoti savo gyventojų asmens duomenis į Jungtines Valstijas panašiomis sąlygomis.

Rugpjūčio 12 d. nevyriausybinė organizacija „noyb“ įspėjo žiniasklaidą apie socialinį tinklą „X“, kuris neteisėtai pradėjo naudoti daugiau nei 60 milijonų ES/EEE vartotojų asmens duomenis, kad apmokytų savo dirbtinio intelekto technologiją („Grok“) be jų sutikimo.

Kitaip nei „Meta“ (kuri neseniai turėjo nutraukti dirbtinio intelekto mokymus ES), „Twitter“, anot NVO, iš anksto neinformavo savo vartotojų. Airijos duomenų apsaugos komisija pradėjo teisinį procesą prieš „X“, o „noyb“ pateikė skundus devyniose Europos šalyse, siekdama nutraukti šią praktiką. „X“ įsipareigojimas nutraukti šių duomenų naudojimą pagaliau atsirado, kai jau pasirodė nauja „Grok“ versija. Pasak NVO, dirbtinio intelekto modelis tuo tarpu iš tiesų buvo apmokytas naudojant ES duomenis.

 

Jungtinėje Karalystėje duomenų valdytojas buvo papeiktas už tai, kad prieš diegdamas veido atpažinimo sistemą mokykloje neatliko privatumo poveikio vertinimo, kaip reikalaujama pagal JK BDAR 35 straipsnį. Duomenų valdytojas taip pat nebuvo gavęs galiojančio sutikimo.

Jungtinės Tautos ir Tarptautinė darbo organizacija paskelbė ataskaitą pavadinimu „Atminkite dirbtinio intelekto skirtumus – formuojant pasaulinę perspektyvą dėl darbo ateities“.

Be kitų išvadų, ataskaitoje minima, kad technologinė pažanga kelia grėsmę darbo vietoms tokiuose sektoriuose kaip skambučių centrai ir kitų rūšių verslo procesų perdavimas iš išorės, kuris yra plačiai paplitęs kai kuriose besivystančiose šalyse.

Nors kai kurias šių profesijų užduotis potencialiai būtų galima automatizuoti, dokumente priduriama, kad daugumai jų vis dar reikalingas žmogaus įsikišimas. „Toks dalinis automatizavimas galėtų padidinti efektyvumą, leisdamas žmonėms skirti daugiau laiko kitoms darbo sritims.“

Rugpjūčio 5 d. JAV federalinis teisėjas nusprendė, kad „Google“ turi neteisėtą internetinės paieškos monopolį. Teismas padarė išvadą, kad „Google“ pažeidė Shermano įstatymo 2 skirsnį, išlaikydama savo monopolį dviejose produktų rinkose Jungtinėse Valstijose – bendrųjų paieškos paslaugų ir bendrosios tekstinės reklamos – pagal savo išskirtines platinimo sutartis“.

Nigerija praėjusių metų rugpjūtį paskelbė savo „nacionalinę dirbtinio intelekto strategiją“.

Visų pirma, jame teigiama: „Nigerija ir platesnis Afrikos žemynas susiduria su vienais išskirtiniausių ir įtikinamiausių iššūkių bei galimybių, kurias dirbtinis intelektas galėtų išspręsti. Nuo žemės ūkio optimizavimo įvairaus klimato sąlygomis iki visuomenės sveikatos infrastruktūros gerinimo, vietoje sukurti dirbtinio intelekto sprendimai, pritaikyti prie vietos realijų, yra daug geriau pasirengę spręsti šiuos iššūkius nei iš išorės primesti modeliai, sukurti visiškai kitam kontekstui ir žmonėms. (...) Daugelyje Nigerijos duomenų rinkinių yra netikslumų, nepilnumo ir standartizacijos stokos. Duomenų kokybė turi būti gerinama, siekiant užtikrinti dirbtinio intelekto algoritmų patikimumą ir efektyvumą, nes jiems optimaliam veikimui reikalingi švarūs ir tikslūs duomenys.“

„X“ sustabdė savo veiklą Brazilijoje po kelis mėnesius trukusio konflikto su Aukščiausiojo Teismo teisėju.

Rugpjūčio 31 d. teisėjas nurodė uždrausti X ir įšaldyti Elono Musko kosmoso bendrovės „Starlink“ turtą. Šis sprendimas priimtas po kelis mėnesius trukusio tyrimo dėl melagingos ir šmeižikiškos informacijos skleidimo socialiniame tinkle, taip pat po tolesnio tyrimo dėl Musko įtariamo teisingumo trukdymo.